StaffCop Enterprise 4.4的安全事件调查

你好 我的名字叫Roman Frank，我是信息安全领域的专家。 直到最近，我还在安全部门的一家大公司工作（技术保护）。 我有两个问题：预算中没有常规的现代技术保护手段和用于安全的资金。 但是我有空闲时间来学习软件解决方案，其中一个是StaffCop Enterprise，我想今天详细介绍一下。

经验表明，该程序可以在几分钟内解决我自己花费在识别和调查信息泄漏上的90％的时间。 我对解决方案的技术细节非常深入，最终我退出了该公司，现在我在StaffCop担任技术支持专家。

让我们谈谈StaffCop Enterprise

StaffCop Enterprise-使用DLP功能监视员工行为的系统。

该程序能够：

• 确保公司的信息安全（检测信息泄漏并调查事件）；
• 监控员工的行为（保持工作时间跟踪，评估员工的生产力，进行行为分析，监控业务流程）；
• 进行远程管理（工作站的管理，计算机的清单）。

我认为，一个明显的优势是无需关闭本地网络，并且无法通过Internet工作。 由于现在很难谈论信息安全的范围（任何公司都具有远程分支机构或自由职业者的员工），因此网关解决方案并不那么灵活，并且通常需要用户工作站上的代理。

通过完全控制本地网络外部工作站的任务，StaffCop可以轻松应对。 开发中使用的技术堆栈使系统对资源的要求降低，并且可以轻松地与其他系统集成，并且如有必要，开发人员可以完善功能。 另外，在不久的将来，将发布带有FSTEC证书的分发工具包，该工具包适用于保护需要4级或以下防护等级的物体。 所有这些使该系统对不同的专家都是有利可图的，可靠的和有用的。

让我们从最重要的事情开始。 StaffCop如何使安保人员的生活更轻松？ 我们将分析一个人的主要头痛，这个人的任务是防止粉末桶爆炸。 储粉桶可能是限制进入的信息，该信息已在公司外部公知。 因此，主要关注点是不离开。 而且，如果它消失了，那么如何找到攻击者并进行惩罚。

机密信息控制

Staffcop控制着从用户PC到Windows的所有主要信息传输渠道。 Linux代理朝着相同的方向努力，但是到目前为止，仍然需要网络监视。

1. 文件控制/特殊文件控制。 如果您确定要保护哪些文件免遭窥视，则可以使用这些设置来拦截对这些文件的任何操作，包括复制，打印，保存在其他位置等。如果有人对这些文件或文件进行了更改，名称，将创建文档的卷影副本。 值得强调的是，如果组织拥有一份机密信息列表，则员工必须签署一份不泄露此信息的协议，更重要的是，该协议应指明个人计算机是公司的财产，并且这些PC处理的数据，可以由安全人员复制，存储和处理。
2. 可移动媒体控件。 闪存驱动器是最流行的信息合并方式。 Staffcop允许您配置对USB设备的监视。 这意味着只要有人使用USB闪存驱动器，安全防护就会在事件流中显示连接可移动设备的事实。 此外，任何发送到可移动媒体的文件都将被拦截。 始终可以完全恢复数据库或其他机密信息的复制方式。 如果有需要，但是大型组织中一直存在，可以从白名单中禁止所有设备（允许的设备除外）。 这些设置使您可以使用用户PC以及用户自身上的锁。 除此之外，还有设备类型控制，例如，您可以解锁可移动硬盘驱动器并阻止USB介质。
3. 网络流量控制/特殊站点控制 。 StaffCop控制网络上的所有用户活动。 为了控制网络流量，使用了证书替换方法；由于这种替换，所有通过https连接的流量都将被拦截。 默认情况下，它使用TLS协议进行加密，但是由于替换，它可以被解密，侦听通信并由此关闭最重要的信息泄漏通道之一-Internet。
4. 邮件拦截 您可以截取信件的正文，邮件列表，包括副本和密件副本以及所有附件。 邮件控制在多个方向上实现：网络邮件控制，邮件控制，使用POP3，POP3S，SMTP，SMTP，SMTP，IMAP，IMAPS，MAPI协议...如果您没有选择，请告诉我们！
5. 控制通讯程序。 拦截的主要功能是使所有事件彼此绑定，这使您不必附加到即时通讯程序的来源。 因此，指定WhatsApp应用程序后，我们将收到此应用程序和键盘输入的所有屏幕截图。 您可以按时间过滤相关事件。 与Web Messenger相似。 我还建议设置对Messenger网站的特殊控制，如果用户在Messenger网站上，则每隔几秒钟就会进行一次屏幕截图。
6. 应用程序启动和安装控制/特殊程序控制。 您将永远知道员工使用什么程序。 您可以过滤掉组织中无效的应用程序并将其阻止。 使用StaffCop可以跟踪安装和运行非法软件，或出于个人目的在AutoCAD或其他公司软件中工作的用户，以执行第三方客户的订单。 除站点外，您还可以配置选择性的增强控制：如果员工启动特定的应用程序，则截屏的频率将增加，例如每2秒一次。
7. 打印机控制 纸张的存放位置对您而言不再是秘密。 记录发送文档以进行打印的事件，并启用卷影副本，将创建已打印文档的卷影副本。

搜索潜在的泄漏

只要采取措施，组织措施就是好的。在其他情况下，则必须采取技术保护措施。

1. 您的同事是否使用个人邮件和云服务发送工作文件？ 有一个特殊的筛选器，使您可以跟踪未从公司域发送的所有邮件。 您可以看到一个人使用个人邮件，截取消息，注意泄漏。 实施拦截发送到云的文档。 如果员工将文档上载到那里，则会保存卷影副本。
   
   
   
   您可以过滤掉所有不是通过公司邮件发送电子邮件的用户。 这一点尤其重要，因为一旦文档联机，您就将无法对其进行控制。 重要的是要记住，并非所有信息流失都是出于恶意目的。 常见的用户错误可能会给组织造成很多损失。
2. 您知道您的员工在工作时间内与谁进行沟通？ 如果您警告他们，您有权知道这一点。 有一个特殊的图形，可让您查看任何通信渠道上的用户之间的关系。 最受欢迎的案例是机密信息。 文件名是已知的。 借助此图，您可以始终跟踪谁将这些文档发送到了哪个地址。 文档离开组织后，便清晰可见。 这样的报告适用于想要查看安全防护人员的结果并且不希望了解所有过滤器，信息和数据流的经理。 他只需要某种最终报告，最好是一份小的报告，您可以在其中查看文件名，发送通道，外部地址。
   
   
   
3. 辞典 您可以在使用亵渎行为时设置通知，从而监视负面事件的爆发并采取措施。 特别是如果用户与客户一起工作-在交流中使用亵渎语言是不可接受的。
   
   
   
4. 员工个人卡。 个人卡包含特定用户的所有信息。 例如，什么样的计算机可以工作，热门站点，启动的热门应用程序，搜索查询，截获的文件，最近的屏幕截图。 您可以跟踪交流的图-与组织内其他员工的交流：它通过哪些交流渠道与之更频繁地交流。 这是一种档案，一种个人事务，您可以从中获得有关该员工的一般信息。 这样的卡不仅可以为人创建，还可以为文件，计算机创建。 员工卡非常适合调查事件。 作为有关用户的背景信息。
   
   
   
5. 用户行为异常检测器用于检测泄漏。 员工行为的急剧变化是一个值得关注的场合。 默认情况下，将StaffCop Enterprise检测器配置为使事件的平均发生次数超出10倍。 最受欢迎的情况是复制操作的增加。 例如，存在固定将大量文档复制到USB驱动器的情况。 此外，还发现信息是从封闭的网段复制而来的，这对于处理标记为“机密”的图形是必要的。 此外，物理信息保护措施和安全服务开始生效。 一名员工被拘留以进行进一步调查。 异常检测器将大大减少识别难以或不可能配置自动过滤器的事件的时间。
   
   
   

孔封闭

被动防护措施并非总是可以廉价地替代主动防护设备。 在我们的案例中，Staffcop是一种积极的保护手段，可让您控制和关闭某些信息泄漏通道。

1. 我们阻止个人USB驱动器和CD。 组织可以禁止使用个人可移动媒体。 引入了允许设备的所谓“白名单”，其中所有未包含的其他媒体都将被阻止。
   
   
   
2. 我们禁止访问“非生产性”网站或仅允许“生产性”网站。 您可以在设置阻止网站的规则。 阻止规则适用于子字符串-无需指定确切的地址和域。 您可以不使用用于封锁网站的产品。
3. 我们阻止启动应用程序。 您可以列出可以阻止的应用程序，反之亦然，请仅使用允许的应用程序。 创建封闭的软件环境时，需要非常小心允许的应用程序列表。 如果发生错误，则可能会阻止系统登录。
4. 为恶意行为设置警报。 对于我们认为是事件的任何事件，您可以构建过滤器并配置警报。 此类事件的列表由客户在测试阶段独立确定。 例如，如果由于某种原因无法建立白名单，则复制到USB闪存驱动器被认为是恶意的。 记录此类事件，并以给定的频率发送报告，例如每天或每周一次。 您可以在发生特定事件时设置立即警报。

事故调查

在调查事件时，证据基础非常重要。 Staffcop允许您存储用户在监视期间发生的所有事件的历史记录。

1. 有事还是没事？ 有必要更详细地研究。 系统中的事件与多维报表的构建（即“向下钻取”技术）之间存在联系。 所有事件都是相互关联的，例如，Web表单的拦截与访问站点相关联，当一个人在进入网站时在Web表单中输入用户名和密码时，可以拦截此信息。 如果启用了截取此表格的功能，那么我们不仅会看到这些表格中的内容，还会看到输入表格的网站。 “向下钻取”是失败的，也就是说，您可以向下钻取事件信息并查看相关事件。
   
   StaffCop使用OLAP技术（多维立方体）。 由于将混合模式与两个数据库一起使用，用户可以获得出色的性能结果。 在其他系统中会生成几个小时的报告，StaffCop Enterprise会在几（数十）秒内生成报告。 从报告中，您可以澄清与特定事件有关的任何信息。
2. 麦克风录制，桌面视频录制和屏幕截图用于了解事件的上下文。 例如，某个过滤器起作用，发生了一个事件，但是它的上下文是难以理解的。 麦克风录音和桌面录音是默认情况下禁用的两个模块。 声音会在短短的10分钟内录制（您可以放更多点或更少点），而不会录制静音。 您也可以录制视频。 每个事件均带有时间戳。 如果启用了桌面视频录制模块，则将录制桌面上发生的所有事件。 应该理解，存储大量信息是昂贵的。 此功能可以逐点使用，例如，如果某个员工受到怀疑，则可以在他身上放置这样的模块并监视发生的一切。 当需要对站点和程序进行特殊控制时，将使用屏幕截图。 使用这些模块，任何事件都可以分部分详细说明。 精简设置将使得仅可以选择事件调查模块，这些模块将逐步识别信息泄漏和原因的事实，并可能识别涉及的其他人员和事件。
   
   
   
3. 快速报告。 该产品使用PostgreSQL + ClickHouse混合数据库，这使得报表构建非常快。 ClickHouse的缺点是资源需求。 例如，服务器必须至少具有16 GB的RAM，8个或16个内核，因此该解决方案仅用于具有大量代理的系统。 在此类系统中有很多事件，为了快速加载它们，您需要ClickHouse。 如果使用PostgreSQL，则会出现问题：如果数据库中存在数千万个事件，则上传到Web控制台的延迟最多应为1分钟，但是如果您不断刷新页面，则所有新事件都将落入事件镜头。
   
   当两个数据库同时运行时，有时会使用混合模式。 应该注意的是，除ABBYY（用于文本识别的云服务）外，StaffCop Enterprise不使用云技术。

我相信StaffCop是安全卫士手中的主要工具，它将为安全服务节省时间并为公司的管理节省资金。

资源需求可以在这里找到 。
安装细节 。
如果您想在测试模式下驱动系统并亲自查看StaffCop是否适合您，则可以在此处或通过我们的合作伙伴 发送应用程序 。


罗马·弗兰克
StaffCop技术支持专家